Politique de confidentialité pour les profils de médias sociaux de Merz
Nous, Merz Pharma (Suisse) SA, Hegenheimermattweg 57, 4123 Allschwil, (ci-après «Merz», «nous», «notre» et toutes les déclinaisons correspondantes), gérons des profils accessibles au public sur différentes plateformes de médias sociaux afin de pouvoir communiquer avec nos clients ou les prospects et de vous renseigner par ce biais sur notre entreprise, nos produits et les possibilités de carrière.
La consultation de ces profils implique un certain nombre d’opérations de traitement de données. Vous trouverez ci-dessous un aperçu des données à caractère personnel que nous collectons, utilisons et stockons lorsque vous consultez nos profils sur LinkedIn, Facebook ou Instagram. Vous trouverez également des informations générales sur le traitement de vos données par Merz, notamment sur le partage de vos données, la durée de conservation et vos droits relatifs au traitement de vos données.
A. RESPONSABILITÉ DU TRAITEMENT DE VOS DONNÉES À CARACTÈRE PERSONNEL
Nous gérons notre présence en ligne sur les plateformes de médias sociaux suivantes en collaboration avec les opérateurs respectifs:
- LinkedIn (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irlande),
notre présence: https://ch.linkedin.com/company/merz-pharma-schweiz
Avis de confidentialité de la plateforme: https://www.linkedin.com/legal/privacy-policy?trk=hb_ft_priv
- Facebook (Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Irlande),
notre présence: https://www.facebook.com/merzpharmaschweiz/?locale=de_DE
https://www.facebook.com/teteseptCH
https://www.facebook.com/merzspezialCHAvis de confidentialité de la plateforme: https://de-de.facebook.com/policy.php
- Instagram (Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Irlande),
notre présence:
https://www.instagram.com/tetesept_ch/
https://www.instagram.com/merzspezial_ch/Avis de confidentialité de la plateforme: https://privacycenter.instagram.com/policy
Lorsque vous consultez nos profils, vos données à caractère personnel ne sont pas seulement utilisées et stockées par nos soins, mais aussi et surtout par les plateformes de médias sociaux susmentionnées. Pour plus de détails sur le traitement de vos données à caractère personnel par les différents exploitants, veuillez consulter les politiques de confidentialité respectives dont les liens figurent ci-dessus.
I. Merz en tant que responsable
Merz est responsable du traitement des données à caractère personnel au sens de l’article 4 point 7 du RGPD, dans la mesure où vos données à caractère personnel traitées dans le cadre de l’utilisation de nos profils de médias sociaux sont traitées par Merz à ses propres fins.
II. LinkedIn, Facebook et Instagram en tant que responsables
Dans la mesure où l’exploitant technique et administratif de la plateforme de médias sociaux concernée traite également ou exclusivement vos données à caractère personnel à ses propres fins, il est responsable du traitement des données à caractère personnel effectué sur les canaux de médias sociaux au sens de la législation sur la protection des données.
III. Responsabilité commune
Dans la mesure où le traitement des données dans le cadre de la mise à disposition et de l’utilisation de nos canaux de médias sociaux s’effectue sur la base d’une responsabilité commune de Merz et de l’exploitant de la plateforme de médias sociaux conformément à l’article 26, alinéa 1 du RGPD, comme notamment l’analyse des données à des fins statistiques, nous avons conclu avec l’exploitant, conformément aux dispositions légales, un accord de responsabilité commune disponible ici:
· Facebook: https://en-gb.facebook.com/legal/terms/page_controller_addendum
· LinkedIn: https://legal.linkedin.com/pages-joint-controller-addendum
· Instagram (produit Facebook): https://www.facebook.com/legal/terms/page_controller_addendum
B. TRANSFERTS DE DONNÉES
Vous trouverez ci-dessous un aperçu des données à caractère personnel que nous collectons, utilisons et stockons lorsque vous consultez l’un de nos profils, et par qui et à quelles fins. On entend par «données à caractère personnel» les informations qui permettent de vous identifier personnellement, à savoir votre nom, votre nom d’utilisateur, votre adresse e-mail et votre photo de profil, les données d’utilisation, telles que les informations relatives à l’heure où vous vous connectez à nos canaux de médias sociaux, et les données d’interaction, telles que vos commentaires, vos remarques, vos recommandations et le partage de publications, ainsi que d’autres données générées lors de la visite de nos canaux de médias sociaux en lien avec vous.
I. Transferts de données par les canaux de médias sociaux
Le traitement des données à caractère personnel sur la plateforme de médias sociaux sur laquelle nous gérons notre présence en ligne relève de la seule responsabilité de l’exploitant de la plateforme de médias sociaux concernée. Nous attirons votre attention sur le fait que l’exploitant traite généralement vos données à caractère personnel lorsque vous consultez nos pages de médias sociaux, que vous ayez ou non un compte d’utilisateur sur la plateforme de médias sociaux en question ou que vous y soyez connecté ou non, et qu’il utilise généralement aussi des cookies et d’autres technologies de stockage et de suivi (parfois sur tous les appareils).
Nous n’avons généralement aucune influence sur la collecte des données et sur leur utilisation ultérieure par l’exploitant respectif de la plate-forme de médias sociaux concernée. Nous n’avons aucun contrôle sur l’étendue, le lieu et la durée de stockage des données, ni sur la mesure dans laquelle le fournisseur de la plateforme de médias sociaux concernée s’acquitte de ses obligations de suppression, ni sur les évaluations et les liens effectués avec les données, ni sur les personnes auxquelles les données sont transmises. C’est la raison pour laquelle nous vous demandons de vérifier précisément les données à caractère personnel que vous communiquez en tant qu’utilisateur sur la plateforme de médias sociaux concernée. Dans la mesure où Merz peut exercer une influence sur le traitement de vos données à caractère personnel, nous nous efforçons, dans le cadre des possibilités dont nous disposons, de traiter vos données de la manière la plus respectueuse possible de la protection des données. Vous trouverez de plus amples informations sur le traitement de vos données à caractère personnel par les exploitants des plateformes dans les politiques de confidentialité respectives dont les liens figurent ci-dessus.
Dans la mesure où les plateformes mettent à notre disposition des statistiques d’utilisation anonymes (appelées services d’analyse ou données d’aperçu de la page) de nos profils de médias sociaux sur la base des actions et des interactions de nos utilisateurs de médias sociaux, nous attirons votre attention sur le fait que nous n’avons aucune influence ni aucun accès à la création et au traitement de ces statistiques d’utilisation et des données sur lesquelles elles reposent. Ce traitement relève de la seule responsabilité de l’exploitant de la plateforme de médias sociaux concernée et ne nous permet pas de consulter les données personnelles des différents followers ou utilisateurs. Il est également possible que les plateformes de médias sociaux elles-mêmes établissent des statistiques d’utilisation personnalisées, par exemple à des fins d’études de marché, de publicité ou à d’autres fins commerciales ou professionnelles, et traitent des données à caractère personnel en dehors de l’Union européenne, auxquelles nous ne pouvons pas non plus accéder ou que nous ne pouvons pas contrôler.
Vous trouverez de plus amples informations sur le traitement de vos données à caractère personnel par l’exploitant de la plateforme dans le cadre de la création et du traitement de statistiques d’utilisation sur les pages web suivantes:
· LinkedIn Privacy Policy (Aggregated Insights) à l’adresse suivante https://business.linkedin.com/de-de/sales-solutions/sales-insights,
· Informations Facebook sur les données Page Insights à l’adresse suivante https://www.facebook.com/help/pages/insights,
· Instagram Insights à l’adresse suivante https://help.instagram.com/788388387972460/?helpref=uf_share,
Pour éviter que les exploitants de plateformes de médias sociaux ne collectent des données vous concernant et ne les utilisent à des fins de publicité comportementale, vous devez vérifier les paramètres de confidentialité du canal de médias sociaux en question et personnaliser le cas échéant les paramètres de votre compte. Il est également possible de désactiver ou de restreindre la transmission de cookies en modifiant les paramètres de votre navigateur Internet.
III. Transferts de données par Merz, finalités et bases juridiques
Merz traite vos données dans le respect des dispositions légales applicables en matière de protection des données et donc en particulier dans le respect de la loi fédérale sur la protection des données (LPD) du 19 juin 1992 et du règlement (UE) 2016/679 (règlement général sur la protection des données – RGPD).
Sauf mention contraire ci-dessous, le traitement des données à caractère personnel en lien avec notre présence en ligne sur les médias sociaux repose en principe sur nos intérêts légitimes en matière d’activités publicitaires et de communication ainsi que sur l’optimisation de notre présence en ligne. La base juridique pour le traitement des données est l’Art. 6 al. 1 p. 1 let. f) du RGPD (intérêt légitime).
Dans certains cas, nous pouvons également être amenés à traiter des données laissées sur les médias sociaux ou qui nous sont communiquées dans le cadre d’obligations légales (par exemple, à des fins de transmission aux autorités ou aux tribunaux) ou à des fins de surveillance et de sécurité des produits. La base juridique est alors l’Art. 6 al. 1 p. 1 let. c) (obligation légale) ou let. f) (intérêt légitime) du RGPD.
a) Demandes via les profils de médias sociaux
Si vous utilisez nos profils de médias sociaux pour nous contacter (par exemple, en publiant vos propres messages, en réagissant à l’un de nos contenus ou en nous envoyant des messages privés), nous traitons les données que vous nous fournissez dans le seul but de pouvoir vous contacter. Si vous nous contactez via d’autres canaux de communication, le cas échéant plus sûrs, vous recevrez une réponse appropriée via le canal choisi. La base juridique est alors, selon le contenu de la prise de contact, l’Art. 6 al. 1 p. 1 let. b) ou f) du RGPD.
Vos données seront le cas échéant transmises à d’autres sociétés du groupe Merz si et dans la mesure où cela est nécessaire pour répondre à votre demande. Vous trouverez un aperçu des sociétés Merz ici https://www.merz.com/about-merz/locations.
Si, pour répondre à la demande, il est nécessaire de transmettre des données à des entreprises du groupe Merz situées en dehors de l’Union européenne ou de l’Espace économique européen et si l’entreprise du groupe Merz a son siège dans un pays qui, selon le Préposé fédéral à la protection des données et à la transparence (PFPDT) ou la décision de la Commission européenne, ne garantit pas un niveau de protection approprié des données, les garanties nécessaires pour la protection des données à caractère personnel sont prévues dans les clauses contractuelles standard adoptées par le PFPDT ou la Commission européenne. Ces dernières peuvent être consultées à l’adresse suivante: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en
Nous vous déconseillons de nous transmettre des données sensibles ou autres informations confidentielles par le biais des plateformes de médias sociaux, dans la mesure où nous n’avons pas connaissance de la confidentialité des informations que vous fournissez dans le cadre d’un contact direct. Nous vous recommandons d’utiliser pour cela un moyen de communication plus sûr, comme le courrier postal.
b) Interactions avec les utilisateurs
Notre plateforme de médias sociaux nous permet de savoir à quels utilisateurs notre présence sur les médias sociaux et nos publications plaisent et qui les évalue, les commente ou les partage. Nous pouvons voir vos publications et interactions sur notre présence en ligne, ainsi que votre profil public (en fonction des informations que vous avez publiées ou partagées sur votre profil), puis analyser et utiliser ces informations sous forme agrégée afin d’améliorer nos produits et informations.
Nous vérifions également si des commentaires ou autres interactions sur nos pages de médias sociaux enfreignent la législation en vigueur ou les politiques de la communauté concernée et nous les supprimons le cas échéant. Si ce type de commentaires se produit fréquemment, nous pouvons traiter les noms d’utilisateur concernés, y compris d’autres informations de profil, pour décider de la marche à suivre. Ce traitement repose sur notre intérêt légitime (Art. 6, al. 1, p. 1, let. f) du RGPD) à fournir un site web sérieux et à remplir nos obligations contractuelles ou légales (Art. 6, al. 1, p. 1, let. c) du RGPD lorsqu’il existe une obligation légale).
c) Analyse de l’utilisation
Comme mentionné plus haut, nous pouvons également obtenir des plateformes des statistiques d’utilisation agrégées et anonymisées que nous utilisons pour analyser le comportement d’utilisation et améliorer notre présence en ligne (ce que l’on appelle les données Insights, voir B./I.). Ces statistiques peuvent également être établies par l’exploitant de la plateforme sur la base de données d’utilisateur à caractère personnel. Nous n’avons aucune influence ni aucun accès à l’établissement et au traitement de ces statistiques d’utilisation ni aux données sur lesquelles elles se fondent; elles relèvent de la seule responsabilité de l’exploitant de la plateforme de médias sociaux concernée et ne nous permettent pas de consulter les données personnelles des différents utilisateurs. Ce traitement des données intervient sur la base de nos intérêts légitimes susmentionnés (Art. 6, al. 1, p. 1, let. f) du RGPD).
Les exploitants des plateformes se sont engagés auprès de nous à assumer la responsabilité primaire selon le RGPD pour le traitement de ces données, à satisfaire à toutes les obligations découlant du RGPD concernant ces données et à mettre à la disposition des personnes concernées l’essentiel de cette obligation. Pour plus d’informations sur les services respectifs et sur les possibilités d’évaluation, veuillez consulter les pages d’information sur les données Insight des opérateurs de plateformes respectifs, dont les liens figurent ci-dessus.
d) Publicité ciblée
En outre, nous utilisons pour la publicité des définitions de groupes cibles démographiques, basées sur les intérêts, le comportement ou la localisation, que l’exploitant de la plateforme de médias sociaux peut mettre à notre disposition sous forme anonyme. Dans ce cas, la diffusion de publicité ou la mise en évidence de contenus sur nos sites de médias sociaux s’effectue sur la base d’une analyse du comportement d’utilisation antérieur par l’exploitant de la plateforme de médias sociaux correspondante. Nous ne disposons alors que d’informations anonymisées ou pseudonymisées, qui ne nous permettent pas de vous identifier personnellement et qui ne sont à aucun moment associées aux données à caractère personnel que nous avons éventuellement enregistrées.La base juridique de ce traitement est l’Art. 6 al. 1 p. 1 let. f) du RGPD.
C. TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL
I. Transfert de données au sein du groupe Merz
Merz fait partie du groupe Merz, c’est pourquoi nous nous réservons le droit de partager vos données à caractère personnel au sein du groupe Merz, dans le respect des dispositions applicables en matière de protection des données. Étant donné que le groupe Merz compte également des entreprises qui exploitent des bases de données en dehors de la Suisse et de l’UE/EEE, vos données à caractère personnel peuvent également être transférées vers des pays tiers qui ne figurent pas sur la liste des États du PFPDT ou qui ne disposent pas d’une décision d’adéquation de la Commission européenne conformément à l’Art. 45 du RGPD. En cas de transfert de données vers un pays tiers, le groupe Merz applique toutefois des règles internes contraignantes en matière de protection des données qui mettent en œuvre les principes, règles et instruments au sens de l’Art. 47 du RGPD.
II. Transfert de données à d’autres tiers
Pour le traitement technique des données à caractère personnel, Merz fait appel à des prestataires de services techniques spécialisés (par exemple, des prestataires de services informatiques ou des agences qui nous aident à concevoir et à optimiser notre présence en ligne, à rédiger nos posts et à recruter). Ces prestataires sont soigneusement sélectionnés et sont tenus contractuellement et par la loi de garantir un niveau élevé de protection des données. Ils traitent les données à caractère personnel dans le seul but de satisfaire à leurs obligations, sont tenus par contrat de respecter nos directives, disposent de mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel et font l’objet de contrôles réguliers de notre part. Dans la mesure où ces prestataires de services traitent des données à caractère personnel en notre nom, nous avons conclu avec eux un contrat de traitement des commandes et convenu de garanties appropriées pour assurer la protection des données à caractère personnel. La base juridique de la coopération avec ces prestataires de services est l’Art. 28 du RGPD.
Si nous transmettons des données à caractère personnel à une partie située en dehors de l’Union européenne ou de l’Espace économique européen, ces données se trouvent alors soit dans un pays qui garantit un niveau de protection adéquat des données selon le PFPDT ou la décision de la Commission européenne, soit il est prévu un niveau de protection adéquat des données par des clauses contractuelles types approuvées par le PFPDT ou la Commission européenne et conclues entre nous et la partie concernée. Les clauses contractuelles types sont disponibles ici: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.
III. Transfert de données par les exploitants de plateformes
En ce qui concerne Facebook, Instagram et LinkedIn, il est possible que certaines des données à caractère personnel collectées soient également traitées en dehors de la Suisse et de l’Union européenne (dans des pays dits tiers), en particulier aux États-Unis, dans la mesure où les sociétés mères ont leur siège aux États-Unis, par exemple, et/ou qu’un transfert de données des sociétés européennes vers des sociétés non européennes ne peut être exclu.
Les États-Unis sont un pays tiers peu sûr, car ils n’offrent pas un niveau de protection des données comparable à celui de la Suisse ou de l’UE. Un pays tiers est généralement considéré comme peu sûr s’il ne figure pas sur la liste des États publiée par le PFPDT ou si la Commission européenne n’a pas rendu pour ce pays une décision d’adéquation au sens de l’Art. 45, al.1 du RGPD, confirmant que le pays en question offre un niveau de protection adéquat pour les données à caractère personnel.
L’arrêt de la CJUE du 16 juillet 2020 (C-311/18) a annulé ce que l’on appelle le Privacy Shield (décision d’adéquation pour les États-Unis). En cas de transfert de données à caractère personnel vers les États-Unis, il existe donc un risque que les autorités américaines puissent demander à accéder aux données à caractère personnel sur la base des programmes de surveillance PRISM et UPSTREAM basés sur la section 702 du FISA (Foreign Intelligence Surveillance Act), ainsi que sur la base de l’Executive Order 12333 ou de la Presidential Police Directive 28. Selon LinkedIn, Facebook et Instagram, la protection de vos données à caractère personnel lors d’un transfert vers un pays tiers est garantie par diverses mesures visant à garantir que les données sont traitées conformément aux lois et réglementations en matière de protection des données. Parmi ces mesures, on peut citer par exemple la conclusion de clauses contractuelles types approuvées par le PFPDT et la Commission européenne, et l’utilisation de mesures techniques et organisationnelles pour garantir la protection des données (notamment le cryptage, les contrôles d’accès et le contrôle régulier des mesures de sécurité).
Dans ce contexte, nous vous recommandons de vous informer sur les pratiques de LinkedIn, Facebook et Instagram en matière de protection des données et de vous assurer que vous consentez au transfert de vos données vers des pays tiers. Merz n’a aucune influence sur la nature et l’étendue des traitements de données effectués par les opérateurs de plateformes dans des pays tiers.
D. DURÉE DE CONSERVATION DE VOS DONNÉES
Sauf disposition contraire dans la présente déclaration de confidentialité, les données à caractère personnel sont supprimées par Merz lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été traitées et que le délai légal de conservation a expiré. Les données pertinentes pour le contrat sont conservées jusqu’à dix ans après la fin du contrat respectif avec Merz.
Dans quelques cas exceptionnels, vos données peuvent être conservées au-delà de cette période, par exemple lorsque la conservation est nécessaire dans le cadre de l’application et de la défense de droits juridiques en faveur de Merz. Toute autre conservation de vos données à caractère personnel par l’exploitant de la plateforme concernée dépend exclusivement des dispositions de l’exploitant de la plateforme en question.
E. DROITS RELATIFS AU TRAITEMENT
Si vous souhaitez obtenir des informations détaillées ou une copie des données à caractère personnel conservées par Merz vous concernant, vous pouvez vous adresser à Merz. Vous pouvez par ailleurs recevoir les données que vous avez mises à disposition de Merz, conformément aux prescriptions légales, dans un format structuré, usuel et pouvant être lu par une machine ou exiger que Merz transmette ces données à un tiers. Si vous deviez constater que les données conservées vous concernant sont erronées ou incomplètes, vous pouvez à tout moment demander à ce que ces données soient rectifiées ou complétées sans délai. Dans les conditions décrites à l’Art. 15 de la LPD ou aux Art. 17 et 18 du RGPD, vous pouvez également demander l’effacement ou la limitation du traitement de vos données à caractère personnel. Si vous avez consenti au traitement de vos données à caractère personnel, vous avez le droit de révoquer votre consentement à tout moment, sans que cela n’affecte la légalité du traitement effectué sur la base du consentement jusqu’à la révocation.
Vous avez par ailleurs le droit de déposer une réclamation auprès de l’autorité de surveillance compétente en matière de protection des données.
Si le traitement de vos données à caractère personnel repose sur notre intérêt légitime au sens de l’Art. 6 al. 1 p. 1 let. f du RGPD, vous avez le droit de vous opposer à tout moment au traitement de données à caractère personnel vous concernant pour des raisons découlant de votre situation particulière; ceci s’applique également au profilage éventuel sur la base de cette disposition. Merz ne traitera alors plus vos données à caractère personnel, à moins que Merz puisse prouver qu’il existe des raisons impérieuses pour le traitement qui l’emportent sur vos intérêts, droits et libertés, ou que le traitement sert à faire valoir, exercer ou défendre des droits légaux (Art. 21 al. 1 du RGPD, dit «Droit d’opposition limité»).
F. COORDONNÉES
Si vous avez des questions concernant le traitement des données à caractère personnel par Merz ou si vous souhaitez exercer vos droits relatifs à un tel traitement, vous pouvez à tout moment vous adresser à Merz. Il vous suffit pour cela d’adresser un courrier à l’adresse suivante:
Merz Pharma (Suisse) AG
Politique de confidentialité
Hegenheimermattweg 57
4123 Allschwil
Suisse
Vous pouvez joindre le délégué à la protection des données de Merz à l’adresse data-protection@merz.ch
Vous pouvez également consulter notre déclaration de confidentialité Merz (voir www.merz.com/fin_de), dans laquelle vous trouverez des informations générales sur le traitement des données à caractère personnel de différents groupes de personnes (par exemple, les internautes visitant notre site Web, les participants à des études, les personnes qui achètent nos produits ou les professionnels de santé).
Si vous avez des questions sur le traitement des données à caractère personnel par LinkedIn, Facebook ou Instagram, veuillez contacter directement l’opérateur de la plateforme:
- LinkedIn
LinkedIn Ireland Unlimited Company
Wilton Place
Dublin 2
IrlandeVous pouvez contacter le responsable de la protection des données de LinkedIn par écrit à l’adresse indiquée ci-dessus ou en ligne via: https://www.linkedin.com/help/linkedin/ask/TSO-DPO
- Facebook
Meta Platforms Ireland Limited
4 Grand Canal Square
Grand Canal Harbour
Dublin 2, IrlandeVous pouvez contacter le responsable de la protection des données de Facebook ou de Meta Platforms par écrit à l’adresse indiquée ci-dessus ou en ligne via: https://www.facebook.com/help/contact/540977946302970
- Instagram
Meta Platforms Ireland Limited
4 Grand Canal Square
Grand Canal Harbour
Dublin 2, IrlandeVous pouvez contacter le responsable de la protection des données d’Instagram ou de Meta Platforms par écrit à l’adresse indiquée ci-dessus ou en ligne via: https://www.facebook.com/help/contact/540977946302970
G. MODIFICATIONS
Nous pouvons modifier la présente déclaration de confidentialité à tout moment et sans préavis. La version en vigueur publiée sur notre site web s’applique. Si la déclaration de confidentialité fait partie d’un accord avec vous, nous vous informerons, en cas de mise à jour, de la modification par e-mail ou par tout autre moyen approprié.